| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
In libxml2 wurde eine problematische Schwachstelle gefunden. Hiervon betroffen ist ein unbekannter Codeblock der Komponente XML External Entity Handler. Durch Beeinflussen des Arguments DOCTYPE mit der Eingabe <!DOCTYPE external [<!ENTITY ee SYSTEM "file:///PATH/TO/simple.xml">]><root>ⅇ</root> durch XML File kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden.
Diese Schwachstelle wird als CVE-2013-0339 gehandelt. Es ist kein Exploit verfügbar.
Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Eine problematische Schwachstelle wurde in libxml2 - eine genaue Versionsangabe steht aus - (Document Processing Software) gefunden. Davon betroffen ist unbekannter Code der Komponente XML External Entity Handler. Durch die Manipulation des Arguments DOCTYPE mit der Eingabe <!DOCTYPE external [<!ENTITY ee SYSTEM "file:///PATH/TO/simple.xml">]><root>ⅇ</root> kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-264. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
libxml2 through 2.9.1 does not properly handle external entities expansion unless an application developer uses the xmlSAX2ResolveEntity or xmlSetExternalEntityLoader function, which allows remote attackers to cause a denial of service (resource consumption), send HTTP requests to intranet servers, or read arbitrary files via a crafted XML document, aka an XML External Entity (XXE) issue. NOTE: it could be argued that because libxml2 already provides the ability to disable external entity expansion, the responsibility for resolving this issue lies with application developers; according to this argument, this entry should be REJECTed and each affected application would need its own CVE.Die Schwachstelle wurde am 19.02.2013 durch Kurt Seifried von Red Hat als CVEs for libxml2 and expat internal and external XML entity expansion in Form eines bestätigten Mailinglist Posts (oss-sec) herausgegeben. Das Advisory findet sich auf seclists.org. Eine Veröffentlichung wurde in Zusammenarbeit mit dem Projektteam angestrebt. Die Verwundbarkeit wird seit dem 06.12.2012 mit der eindeutigen Identifikation CVE-2013-0339 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1068 bezeichnet.
Für den Vulnerability Scanner Nessus wurde am 16.07.2013 ein Plugin mit der ID 68903 (Ubuntu 10.04 LTS / 12.04 LTS / 12.10 / 13.04 : libxml2 vulnerabilities (USN-1904-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 195411 (Ubuntu Security Notification for Libxml2 Regression (USN-1904-2)) zur Prüfung der Schwachstelle an.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von git.gnome.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demzufolge sofort gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (82369), Tenable (68903), SecurityFocus (BID 59000†), OSVDB (90630†) und Secunia (SA52277†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-7759, VDB-7836, VDB-68665 und VDB-64455. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 68903
Nessus Name: Ubuntu 10.04 LTS / 12.04 LTS / 12.10 / 13.04 : libxml2 vulnerabilities (USN-1904-1)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 892652
OpenVAS Name: Debian Security Advisory DSA 2652-1 (libxml2 - external entity expansion
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: git.gnome.org
Timeline
06.12.2012 🔍19.02.2013 🔍
19.02.2013 🔍
20.02.2013 🔍
26.02.2013 🔍
26.02.2013 🔍
28.02.2013 🔍
16.07.2013 🔍
11.08.2013 🔍
21.01.2014 🔍
05.05.2021 🔍
Quellen
Advisory: CVEs for libxml2 and expat internal and external XML entity expansionPerson: Kurt Seifried
Firma: Red Hat
Status: Bestätigt
Koordiniert: 🔍
CVE: CVE-2013-0339 (🔍)
GCVE (CVE): GCVE-0-2013-0339
GCVE (VulDB): GCVE-100-7835
OVAL: 🔍
X-Force: 82369
SecurityFocus: 59000
Secunia: 52277 - Libxml2 Entity Expansion Denial of Service Vulnerability, Less Critical
OSVDB: 90630
SecurityTracker: 1028212 - Libxml2 Entity Expansion May Let Remote Users Deny Service
Vulnerability Center: 40959 - libxml2 Entities Expansion Error Allows Remote DoS via a Crafted XML File, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 28.02.2013 10:37Aktualisierung: 05.05.2021 15:08
Anpassungen: 28.02.2013 10:37 (87), 08.05.2017 09:00 (4), 05.05.2021 15:08 (3)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.